CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:1022

WYROK TRYBUNAŁU (trzecia izba)

z dnia 21 grudnia 2023 r.(*)

Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 6 ust. 1 – Warunki zgodności przetwarzania z prawem – Artykuł 9 ust. 1–3 – Przetwarzanie szczególnych kategorii danych – Dane dotyczące zdrowia – Ocena zdolności pracownika do pracy – Służba medyczna w dziedzinie ubezpieczenia zdrowotnego przetwarzająca dane dotyczące zdrowia jej własnych pracowników – Dopuszczalność i warunki takiego przetwarzania – Artykuł 82 ust. 1 – Prawo do odszkodowania i odpowiedzialność – Odszkodowanie za szkodę niemajątkową – Funkcja kompensacyjna – Wpływ winy administratora danych

W sprawie C‑667/21

mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Bundesarbeitsgericht (federalny sąd pracy, Niemcy) postanowieniem z dnia 26 sierpnia 2021 r., które wpłynęło do Trybunału w dniu 8 listopada 2021 r., w postępowaniu:

przeciwko

Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts,

TRYBUNAŁ (trzecia izba),

w składzie: K. Jürimäe, prezes izby, N. Piçarra, M. Safjan, N. Jääskinen (sprawozdawca) i M. Gavalec, sędziowie,

rzecznik generalny: M. Campos Sánchez-Bordona,

sekretarz: A. Calot Escobar,

uwzględniając pisemny etap postępowania,

rozważywszy uwagi, które przedstawili:

– w imieniu ZQ – E. Daun, Rechtsanwalt,

– w imieniu Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts – M. Wehner, Rechtsanwalt,

– w imieniu Irlandii – M. Browne, Chief State Solicitor, A. Joyce i M. Lane, w charakterze pełnomocników, których wspierał D. Fennelly, BL,

– w imieniu rządu włoskiego – G. Palmieri, w charakterze pełnomocnika, którą wspierała M. Russo, avvocato dello Stato,

– w imieniu Komisji Europejskiej – A. Bouchagiar, M. Heller i H. Kranenborg, w charakterze pełnomocników,

po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 25 maja 2023 r.,

wydaje następujący

Wyrok

1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 9 ust. 1, art. 9 ust. 2 lit. h) i art. 9 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”) w związku z art. 6 ust. 1 tego rozporządzenia, a także wykładni art. 82 ust. 1 tego rozporządzenia.

2 Wniosek ten został złożony w ramach sporu między ZQ a jego pracodawcą, Medizinischer Dienst der Krankenversicherung Nordrhein (służbą medyczną kasy ubezpieczenia zdrowotnego w Nadrenii Północnej, Niemcy, zwaną dalej „MDK Nordrhein”), dotyczącego naprawienia szkody, jaką ZQ miał ponieść w związku z przetwarzaniem danych dotyczących jego zdrowia, które miało być przeprowadzone przez MDK Nordrhein w sposób niezgodny z prawem.

Ramy prawne

Prawo Unii

3 Motywy 4–8, 10, 35, 51–53, 75 i 146 RODO mają następujące brzmienie:

„(4) Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości. Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych, w myśl zasady proporcjonalności. Niniejsze rozporządzenie nie narusza praw podstawowych, wolności i zasad uznanych w Karcie praw podstawowych [Unii Europejskiej] – zapisanych w traktatach – w szczególności prawa do poszanowania życia prywatnego i rodzinnego, […] ochrony danych osobowych, […].

(5) Integracja społeczno-gospodarcza wynikająca z funkcjonowania rynku wewnętrznego doprowadziła do znacznego zwiększenia transgranicznych przepływów danych osobowych. Wzrosła wymiana danych osobowych między podmiotami publicznymi i prywatnymi, w tym między osobami fizycznymi, zrzeszeniami i przedsiębiorstwami w Unii [Europejskiej]. Od organów krajowych państw członkowskich prawo Unii coraz częściej wymaga, by w celu wykonania swoich obowiązków lub w celu realizacji zadań w imieniu organu innego państwa członkowskiego współpracowały ze sobą i wymieniały się danymi osobowymi.

(6) Szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Skala zbierania i wymiany danych osobowych znacząco wzrosła. Dzięki technologii zarówno przedsiębiorstwa prywatne, jak i organy publiczne mogą na niespotykaną dotąd skalę wykorzystywać dane osobowe w swojej działalności. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie. Technologia zmieniła gospodarkę i życie społeczne i powinna nadal ułatwiać swobodny przepływ danych osobowych w Unii oraz ich przekazywanie do państw trzecich i organizacji międzynarodowych, równocześnie zaś powinna zapewniać wysoki stopień ochrony danych osobowych.

(7) Przemiany te wymagają stabilnych, spójniejszych ram ochrony danych w Unii oraz zdecydowanego ich egzekwowania, gdyż ważna jest budowa zaufania, które pozwoli na rozwój gospodarki cyfrowej na rynku wewnętrznym. Osoby fizyczne powinny mieć kontrolę nad własnymi danymi osobowymi. Osoby fizyczne, podmioty gospodarcze i organy publiczne powinny zyskać większe poczucie pewności prawa i jego stosowania w praktyce.

(8) W zakresie, w jakim niniejsze rozporządzenie dopuszcza doprecyzowanie lub zawężenie jego przepisów przez prawo państw członkowskich, mogą one – o ile jest to niezbędne, by krajowe przepisy były spójne i zrozumiałe dla osób, do których mają zastosowanie – włączyć elementy niniejszego rozporządzenia do swego prawa krajowego.

[…]

(10) Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. […] Niniejsze rozporządzenie umożliwia też państwom członkowskim doprecyzowanie jego przepisów, w tym w odniesieniu do przetwarzania szczególnych kategorii danych osobowych (zwanych dalej »danymi wrażliwymi«). […]

[…]

(35) Do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. […]

[…]

(51) Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. […] Oprócz wymogów szczegółowych mających zastosowanie do takiego przetwarzania, zastosowanie powinny mieć zasady ogólne i inne przepisy niniejszego rozporządzenia, w szczególności jeżeli chodzi o warunki zgodności przetwarzania z prawem. Należy wyraźnie przewidzieć wyjątki od ogólnego zakazu przetwarzania takich szczególnych kategorii danych osobowych, m.in. w razie wyraźnej zgody osoby, której dane dotyczą, lub ze względu na szczególne potrzeby […].

(52) Należy również zezwolić na wyjątki od zakazu przetwarzania szczególnych kategorii danych osobowych – o ile przewiduje to prawo Unii lub prawo państwa członkowskiego i podlega to odpowiednim zabezpieczeniom chroniącym dane osobowe i inne prawa podstawowe – jeżeli uzasadnia to interes publiczny, w szczególności polegający na przetwarzaniu danych osobowych w dziedzinie prawa pracy, prawa zabezpieczenia społecznego, w tym emerytur, oraz do celów bezpieczeństwa, monitorowania i ostrzegania zdrowotnego, zapobiegania chorobom zakaźnym i innym poważnym zagrożeniom zdrowotnym. Taki wyjątek może być przewidziany ze względu na cele zdrowotne, w tym związane ze zdrowiem publicznym oraz zarządzaniem usługami opieki zdrowotnej, w szczególności zapewnianiem jakości i ekonomiczności procedur stosowanych do rozstrzygania roszczeń w sprawie świadczeń i usług w ramach systemu ubezpieczeń zdrowotnych, lub ze względu na cele archiwalne w interesie publicznym, cele badań naukowych lub historycznych lub cele statystyczne. […]

(53) Szczególne kategorie danych osobowych zasługujące na większą ochronę powinny być przetwarzane do celów zdrowotnych wyłącznie w przypadkach, gdy jest to niezbędne do realizacji tych celów z korzyścią dla osób fizycznych i ogółu społeczeństwa, w szczególności w kontekście zarządzania usługami i systemami opieki zdrowotnej i zabezpieczenia społecznego, w tym przetwarzania takich danych przez organy zarządcze i centralne krajowe organy ds. zdrowia do celów kontroli jakości, pozyskiwania informacji zarządczych oraz ogólnego krajowego i lokalnego nadzoru nad systemem opieki zdrowotnej i zabezpieczenia społecznego oraz zapewniania ciągłości opieki zdrowotnej lub zabezpieczenia społecznego […]. Niniejsze rozporządzenie powinno zatem przewidywać zharmonizowane warunki przetwarzania szczególnych kategorii danych osobowych dotyczących zdrowia, ze względu na szczególne potrzeby, w szczególności gdy dane takie są przetwarzane w określonych celach zdrowotnych przez osoby podlegające prawnemu obowiązkowi zachowania tajemnicy zawodowej. Prawo Unii lub prawo państwa członkowskiego powinny przewidywać konkretne, odpowiednie środki chroniące prawa podstawowe i dane osobowe osób fizycznych. Państwa członkowskie powinny móc zachować lub wprowadzić dalsze warunki, w tym ograniczenia, przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia. […]

[…]

(75) Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są […] dane dotyczące zdrowia […]; jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów [wydajności] pracy, sytuacji ekonomicznej, zdrowia, […] – w celu tworzenia lub wykorzystywania profili osobistych; […]

[…]

(146) Za szkodę, którą dana osoba poniosła wskutek przetwarzania w sposób naruszający niniejsze rozporządzenie, powinno przysługiwać odszkodowanie od administratora lub podmiotu przetwarzającego. Administrator lub podmiot przetwarzający powinni jednak zostać zwolnieni z odpowiedzialności prawnej, jeżeli udowodnią, że szkoda w żadnym razie nie powstała z ich winy. Pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia. Nie ma to wpływu na roszczenia z tytułu szkód wynikających z naruszenia innych przepisów prawa Unii lub prawa państwa członkowskiego. Przetwarzanie dokonywane w sposób naruszający niniejsze rozporządzenie obejmuje także przetwarzanie, które narusza akty delegowane i wykonawcze przyjęte na mocy niniejszego rozporządzenia oraz prawo państwa członkowskiego doprecyzowujące niniejsze rozporządzenie. Osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody. […]”.

4 Zawarty w rozdziale I tego rozporządzenia, dotyczącym „[p]rzepisów ogólnych”, art. 2 rozporządzenia, sam zatytułowany „Materialny zakres stosowania”, w ust. 1 stanowi:

„Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych”.

5 Artykuł 4 wspomnianego rozporządzenia, zatytułowany „Definicje”, stanowi:

„Na użytek niniejszego rozporządzenia:

1) »dane osobowe« oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); […]

2) »przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany […]

[…]

7) »administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; […]

[…]

15) »dane dotyczące zdrowia« oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

[…]”.

6 Rozdział II RODO, odnoszący się do „[z]asad” określonych w tym rozporządzeniu, obejmuje art. 5–11 tego rozporządzenia.

7 Artykuł 5 tego rozporządzenia, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, stanowi:

„1. Dane osobowe muszą być:

a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (»zgodność z prawem, rzetelność i przejrzystość«);

[…]

f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (»integralność i poufność«).

2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.

8 Artykuł 6 wspomnianego rozporządzenia, zatytułowany „Zgodność przetwarzania z prawem”, stanowi w ust. 1:

„Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań”.

9 Artykuł 9 tego rozporządzenia, zatytułowany „Przetwarzanie szczególnych kategorii danych osobowych”, ma następujące brzmienie:

„1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

2. Ustęp 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:

[…]

b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;

[…]

h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń [gwarancji], o których mowa w ust. 3;

[…]

3. Dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h), jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.

4. Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia”.

10 Rozdział IV RODO, zatytułowany „Administrator i podmiot przetwarzający”, zawiera art. 24–43.

11 Artykuł 24 tego rozporządzenia, zatytułowany „Obowiązki administratora”, zawarty w sekcji 1 tego rozdziału, noszącej tytuł „Obowiązki ogólne”, w ust. 1 stanowi:

„Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.

12 Zawarty w sekcji 2 wspomnianego rozdziału, zatytułowanej „Bezpieczeństwo danych osobowych”, art. 32 wspomnianego rozporządzenia, zatytułowany „Bezpieczeństwo przetwarzania”, w ust. 1 stanowi:

„Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

[…]”.

13 Rozdział VIII RODO, zatytułowany „Środki ochrony prawnej, odpowiedzialność i sankcje”, zawiera art. 77–84 tego rozporządzenia.

14 Zgodnie z art. 82 wspomnianego rozporządzenia, zatytułowanym „Prawo do odszkodowania i odpowiedzialność”:

„1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. […]

3. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

[…]”.

15 Artykuł 83 RODO, zatytułowany „Ogólne warunki nakładania administracyjnych kar pieniężnych”, stanowi:

„1. Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.

2. […] Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:

a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

b) umyślny lub nieumyślny charakter naruszenia;

[…]

d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;

[…]

k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

3. Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

[…]”.

16 Artykuł 84 tego rozporządzenia, zatytułowany „Sankcje”, stanowi w ust. 1:

„Państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające”.

Prawo niemieckie

17 Zgodnie z § 275 ust. 1 Sozialgesetzbuch, Fünftes Buch (kodeksu socjalnego, księga piąta), w brzmieniu mającym zastosowanie do sporu w postępowaniu głównym, kasy obowiązkowego ubezpieczenia zdrowotnego są zobowiązane zwrócić się do Medizinischer Dienst (służby medycznej), która udziela im pomocy, w szczególności o sporządzenie ekspertyzy w celu rozwiania wątpliwości co do niezdolności do pracy ubezpieczonego, w przypadkach określonych w ustawie lub gdy wymaga tego jego choroba.

18 Paragraf 278 ust. 1 tego kodeksu przewiduje, że taka służba medyczna jest ustanawiana w każdym kraju związkowym, w formie organu podmiotu prawa publicznego.

Postępowanie główne i pytania prejudycjalne

19 MDK Nordrhein jest podmiotem prawa publicznego, który – jako służba medyczna kas ubezpieczenia zdrowotnego – ma za zadanie, między innymi, sporządzać ekspertyzy medyczne mające na celu rozwianie wątpliwości dotyczących niezdolności do pracy osób ubezpieczonych w kasach obowiązkowego ubezpieczenia zdrowotnego, które podlegają jego właściwości, również wtedy, gdy ekspertyzy te dotyczą jego własnych pracowników.

20 W takim przypadku jedynie członkowie specjalnej jednostki, zwanej „komórką ds. przypadków szczególnych”, są uprawnieni do przetwarzania danych zwanych „socjalnymi” tego pracownika, przy użyciu zablokowanej domeny systemu informatycznego tego organu, a także do dostępu do archiwów cyfrowych, po zamknięciu akt ekspertyzy. Wewnętrzna notatka służbowa dotycząca tych przypadków przewiduje w szczególności, że dostęp do wspomnianych danych ma ograniczona liczba upoważnionych pracowników, w tym niektórzy pracownicy służby informatycznej.

21 Skarżący w postępowaniu głównym pracował w służbach informatycznych MDK Nordrhein, a następnie był niezdolny do pracy z przyczyn zdrowotnych. Po upływie półrocza, w którym MDK Nordrhein, jako pracodawca, nadal wypłacał skarżącemu wynagrodzenie, kasa obowiązkowego ubezpieczenia zdrowotnego, w której był on ubezpieczony, zaczęła wypłacać mu świadczenia chorobowe.

22 Kasa ta zwróciła się zatem do MDK Nordrhein o sporządzenie ekspertyzy dotyczącej niezdolności do pracy skarżącego w postępowaniu głównym. Lekarz wykonujący zawód w „komórce ds. przypadków szczególnych” w MDK Nordrhein wykonał ekspertyzę, uzyskując w szczególności informacje od lekarza prowadzącego skarżącego w postępowaniu głównym. Gdy skarżący został o tym powiadomiony przez lekarza prowadzącego, skontaktował się on z jedną ze swoich współpracowniczek ze służby informatycznej i zwrócił się do niej o sporządzenie, a następnie przekazanie mu fotografii ekspertyzy zawartej w archiwum cyfrowym MDK Nordrhein.

23 Uznawszy, że dane dotyczące jego zdrowia były w ten sposób przetwarzane przez pracodawcę niezgodnie z prawem, skarżący w postępowaniu głównym zażądał od pracodawcy wypłaty odszkodowania w wysokości 20 000 EUR, czego MDK Nordrhein odmówił.

24 Następnie skarżący w postępowaniu głównym wystąpił do Arbeitsgericht Düsseldorf (sądu pracy w Düsseldorfie, Niemcy) o nakazanie MDK Nordrhein, na podstawie art. 82 ust. 1 RODO i przepisów prawa niemieckiego, naprawienia szkody, którą, jak twierdzi, poniósł on w związku z dokonanym w ten sposób przetwarzaniem danych osobowych. Podniósł on zasadniczo, po pierwsze, że rozpatrywana ekspertyza powinna była zostać wykonana przez inną służbę medyczną, aby uniknąć sytuacji, w której jego współpracownicy mieliby dostęp do danych dotyczących jego zdrowia, a po drugie, że środki bezpieczeństwa towarzyszące archiwizacji sprawozdania dotyczącego tej ekspertyzy były niewystarczające. Wskazał on również, że przetwarzanie to stanowi naruszenie przepisów prawnych chroniących takie dane, które wyrządziło mu zarówno szkodę niemajątkową, jak i szkodę majątkową.

25 W odpowiedzi MDK Nordrhein podniósł przede wszystkim, że gromadzenie i przechowywanie danych dotyczących zdrowia skarżącego w postępowaniu głównym zostało przeprowadzone zgodnie z przepisami dotyczącymi ochrony takich danych.

26 Ponieważ powództwo skarżącego w postępowaniu głównym zostało oddalone w pierwszej instancji, wniósł on apelację przed Landesarbeitsgericht Düsseldorf (sąd pracy wyższej instancji w Düsseldorfie, Niemcy), który oddalił tę apelację. Wniósł on wówczas skargę rewizyjną przed Bundesarbeitsgericht (federalny sąd pracy, Niemcy), który jest sądem odsyłającym w niniejszej sprawie.

27 Bundesarbeitsgericht wychodzi z założenia, że w sporze w postępowaniu głównym ekspertyza przeprowadzona przez MDK Nordrhein, jako służbę medyczną, stanowi „przetwarzanie” „danych osobowych”, a w szczególności „danych dotyczących zdrowia” w rozumieniu art. 4 pkt 1, 2 i 15 RODO, w związku z czym operacja ta jest objęta przedmiotowym zakresem stosowania tego rozporządzenia, określonym w jego art. 2 ust. 1. Ponadto sąd ten uważa, że MDK Nordrhein jest zainteresowanym „administratorem” w rozumieniu art. 4 pkt 7 wspomnianego rozporządzenia.

28 Jego pytania dotyczą w pierwszej kolejności wykładni szeregu przepisów zawartych w art. 9 RODO, który dotyczy przetwarzania szczególnych kategorii danych osobowych, w szczególności biorąc pod uwagę okoliczność, że przetwarzanie rozpatrywane w postępowaniu głównym zostało dokonane przez podmiot będący również pracodawcą osoby, której dane dotyczą, zgodnie z definicją zawartą w art. 4 pkt 1 tego rozporządzenia.

29 Przede wszystkim sąd odsyłający powziął wątpliwości, czy rozpatrywane w postępowaniu głównym przetwarzanie danych dotyczących zdrowia może być objęte jednym z wyjątków przewidzianych w art. 9 ust. 2 RODO. Zdaniem tego sądu w niniejszym wypadku istotne są jedynie wyjątki wymienione w art. 9 ust. 2 lit. b) i h). Jednakże z góry wyklucza on zastosowanie odstępstwa przewidzianego w tej lit. b) w niniejszej sprawie ze względu na to, że przetwarzanie rozpatrywane w postępowaniu głównym nie było konieczne do celów realizacji praw i obowiązków administratora – jako pracodawcy osoby, której dane dotyczą. Przetwarzanie to zostało bowiem zainicjowane przez inny podmiot, który zwrócił się do MDK Nordrhein o przeprowadzenie kontroli – jako służba medyczna. Natomiast sąd odsyłający – będąc jednocześnie skłonny do niestosowania odstępstwa przewidzianego w tym art. 9 ust. 2 lit. h), ponieważ wydaje mu się, że jedynie leczenie przeprowadzane przez „neutralną osobę trzecią” powinno być nim objęte, a dany podmiot nie może opierać się na swojej „podwójnej funkcji” pracodawcy i służby medycznej w celu wyłączenia zakazu takiego przetwarzania – nie jest w tym względzie kategoryczny.

30 Następnie, na wypadek gdyby przetwarzanie danych dotyczących zdrowia było dozwolone w takich okolicznościach na podstawie art. 9 ust. 2 lit. h) RODO, sąd odsyłający zastanawia się nad przepisami dotyczącymi ochrony danych dotyczących zdrowia, których należy przestrzegać w tych ramach. Jego zdaniem rozporządzenie to oznacza, że nie wystarczy, by administrator spełniał wymogi określone w jego art. 9 ust. 3. Administrator ten powinien ponadto zapewnić, by żaden z współpracowników osoby, której dane dotyczą, nie miał żadnego dostępu do danych dotyczących stanu zdrowia tej osoby.

31 Wreszcie, również w takim samym przypadku, sąd ten dąży do ustalenia, czy co najmniej jedna z przesłanek, o których mowa w art. 6 ust. 1 RODO, musi ponadto być spełniona, aby takie przetwarzanie było zgodne z prawem. Jego zdaniem tak powinno być i, w ramach sporu w postępowaniu głównym, jedynie lit. c) i e) tego art. 6 ust. 1 akapit pierwszy mogą być a priori istotne. Niemniej te dwie lit. c) i e) nie powinny mieć zastosowania ze względu na to, że dane leczenie nie jest „niezbędne” w rozumieniu tych przepisów, ponieważ może być przeprowadzone przez inną służbę medyczną niż MDK Nordrhein.

32 W drugiej kolejności, na wypadek gdyby w niniejszej sprawie doszło do naruszenia RODO, sąd odsyłający zastanawia się nad ewentualnym odszkodowaniem należnym skarżącemu w postępowaniu głównym na podstawie art. 82 tego rozporządzenia.

33 Po pierwsze, sąd odsyłający dąży do ustalenia, czy zasada przewidziana w art. 82 ust. 1 RODO ma charakter odstraszający lub represyjny, oprócz swojej funkcji odszkodowawczej, oraz czy w danym wypadku należy uwzględnić ten charakter przy ustalaniu wysokości odszkodowania przyznanego z tytułu szkody niemajątkowej – w szczególności w świetle zasad skuteczności, proporcjonalności i równoważności ustanowionych w innych dziedzinach prawa Unii.

34 Po drugie, sąd ten skłania się do uznania, że administrator może być pociągnięty do odpowiedzialności na podstawie wspomnianego art. 82 ust. 1 – bez konieczności wykazania jego winy. Mając jednak wątpliwości, przede wszystkim w świetle przepisów prawa niemieckiego, sąd ten dąży do ustalenia, czy należałoby sprawdzić, czy rozpatrywane naruszenie RODO można przypisać administratorowi danych z powodu umyślnego działania lub zaniedbania z jego strony, a także czy stopień winy, jaką ewentualnie można by przypisać administratorowi danych, powinien mieć wpływ na wysokość odszkodowania przyznanego za szkodę niemajątkową.

35 W tych okolicznościach Bundesarbeitsgericht (federalny sąd pracy) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1) Czy art. 9 ust. 2 lit. h) [RODO] należy interpretować w ten sposób, że służbie medycznej kasy chorych nie wolno przetwarzać danych dotyczących zdrowia jej pracownika, które są warunkiem oceny zdolności tego pracownika do pracy?

2) W przypadku udzielenia przez Trybunał odpowiedzi przeczącej na pytanie pierwsze z tym skutkiem, że zgodnie z art. 9 ust. 2 lit. h) RODO możliwy do uwzględnienia byłby określony w art. 9 ust. 1 RODO wyjątek od zakazu przetwarzania danych dotyczących zdrowia: czy w przypadku takim jak w niniejszej sprawie istnieją inne, a jeżeli tak, jakie wymogi dotyczące ochrony danych, których należy przestrzegać, oprócz tych określonych w art. 9 ust. 3 RODO?

3) W przypadku udzielenia przez Trybunał odpowiedzi przeczącej na pytanie pierwsze z tym skutkiem, że zgodnie z art. 9 ust. 2 lit. h) RODO możliwy do uwzględnienia byłby określony w art. 9 ust. 1 RODO wyjątek od zakazu przetwarzania danych dotyczących zdrowia: czy w przypadku takim jak w niniejszej sprawie zgodność z prawem przetwarzania danych dotyczących zdrowia zależy ponadto od spełnienia co najmniej jednego z warunków określonych w art. 6 ust. 1 RODO?

4) Czy art. 82 ust. 1 RODO ma szczególny lub ogólny charakter prewencyjny i należy to uwzględniać przy ustalaniu wysokości szkody niemajątkowej podlegającej naprawieniu na podstawie art. 82 ust. 1 RODO na niekorzyść administratora lub podmiotu przetwarzającego?

5) Czy przy ustalaniu wysokości szkody niemajątkowej podlegającej naprawieniu na podstawie art. 82 ust. 1 RODO znaczenie ma stopień winy administratora lub podmiotu przetwarzającego? W szczególności, czy można wziąć pod uwagę nieistniejącą lub niewielką winę administratora lub podmiotu przetwarzającego na jego korzyść?”.

W przedmiocie pytań prejudycjalnych

W przedmiocie pytania pierwszego

36 Poprzez pytanie pierwsze sąd odsyłający dąży w istocie do ustalenia, czy w świetle zakazu przetwarzania danych dotyczących zdrowia przewidzianego w art. 9 ust. 1 RODO art. 9 ust. 2 lit. h) RODO należy interpretować w ten sposób, że wyjątek przewidziany w tym przepisie ma zastosowanie do sytuacji, w których organ kontroli medycznej przetwarza dane dotyczące zdrowia jednego ze swoich pracowników nie jako pracodawca, lecz jako służba medyczna, w celu oceny zdolności tego pracownika do pracy.

37 Zgodnie z utrwalonym orzecznictwem wykładnia przepisu prawa Unii wymaga uwzględnienia nie tylko jego brzmienia, lecz także kontekstu, w jaki się on wpisuje, oraz celów aktu, którego ów przepis stanowi część. Geneza przepisu prawa Unii może również zawierać elementy istotne dla jego wykładni (wyrok z dnia 16 marca 2023 r., Towercast, C‑449/21, EU:C:2023:207, pkt 31 i przytoczone tam orzecznictwo).

38 W pierwszej kolejności należy przypomnieć, że art. 9 RODO dotyczy, jak wskazuje jego tytuł, „[p]rzetwarzania szczególnych kategorii danych osobowych”, które w motywach 10 i 51 tego rozporządzenia zostały również zakwalifikowane jako dane „wrażliwe”.

39 W motywie 51 RODO wskazano, że dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności.

40 A zatem w art. 9 ust. 1 RODO ustanowiono zasadę zakazu przetwarzania wymienionych w nim szczególnych kategorii danych osobowych. Wśród tych ostatnich znajdują się „dane dotyczące zdrowia” zdefiniowane w art. 4 pkt 15 tego rozporządzenia w związku z jego motywem 35, które są przedmiotem niniejszej sprawy.

41 Trybunał wyjaśnił, że celem art. 9 ust. 1 wspomnianego rozporządzenia jest zapewnienie zwiększonej ochrony przed przetwarzaniem, które ze względu na szczególną wrażliwość danych będących przedmiotem przetwarzania może stanowić szczególnie poważną ingerencję w prawa podstawowe do poszanowania życia prywatnego i ochrony danych osobowych, zagwarantowane w art. 7 i 8 karty praw podstawowych [zob. podobnie wyrok z dnia 5 czerwca 2023 r., Komisja/Polska (Niezawisłość i życie prywatne sędziów), C‑204/21, EU:C:2023:442, pkt 345 i przytoczone tam orzecznictwo].

42 W art. 9 ust. 2 lit. a)–j) RODO przewidziano jednak wyczerpujący wykaz wyjątków od zasady zakazu przetwarzania tych danych wrażliwych.

43 W szczególności art. 9 ust. 2 lit. h) RODO dopuszcza takie przetwarzanie, jeżeli jest ono „niezbędne do celów [w szczególności] oceny zdolności pracownika do pracy […] na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia”. W przepisie tym uściślono, że wszelkie przetwarzanie oparte na tym przepisie podlega ponadto konkretnie „warunkom i zabezpieczeniom [gwarancjom], o których mowa w ust. 3” tego art. 9.

44 Z art. 9 ust. 2 lit. h) RODO w związku z art. 9 ust. 3 wynika, że możliwość przetwarzania danych wrażliwych, takich jak dane dotyczące zdrowia, jest ściśle obwarowana szeregiem kumulatywnych przesłanek. Przesłanki te dotyczą, po pierwsze, celów wymienionych we wspomnianej lit. h) – wśród których znajduje się ocena zdolności pracownika do pracy – po drugie, podstawy prawnej tego przetwarzania – niezależnie od tego, czy chodzi o prawo Unii, prawo państwa członkowskiego czy o umowę zawartą z pracownikiem służby zdrowia, zgodnie z tą lit. h) – i wreszcie, po trzecie, obowiązku zachowania poufności, który ciąży na osobach uprawnionych do takiego przetwarzania na mocy tego art. 9 ust. 3, przy czym wszystkie te osoby powinny podlegać obowiązkowi zachowania tajemnicy zawodowej, zgodnie z tym ostatnim przepisem.

45 Jak zauważył w istocie rzecznik generalny w pkt 32 i 33 opinii, ani brzmienie art. 9 ust. 2 lit. h) RODO, ani geneza tego przepisu nie dostarczają informacji pozwalających uznać, że stosowanie przewidzianego we wspomnianym przepisie odstępstwa jest zastrzeżone – jak sugeruje to sąd odsyłający – dla sytuacji, w których przetwarzanie danych jest przeprowadzane przez „neutralną osobę trzecią”, a nie przez pracodawcę osoby, której dane dotyczą, zdefiniowanej w art. 4 pkt 1 tego rozporządzenia.

46 Mając na względzie opinię sądu odsyłającego, zgodnie z którą w istocie organ nie powinien mieć możliwości powołania się na swoją „podwójną funkcję” pracodawcy osoby, której dane dotyczą, i służby medycznej, aby uniknąć stosowania zasady zakazu przetwarzania danych dotyczących zdrowia ustanowionej w art. 9 ust. 1 RODO, należy uściślić, że decydujące znaczenie ma uwzględnienie podstawy, na jakiej odbywa się przetwarzanie tych danych.

47 O ile bowiem w tym art. 9 ust. 1 zakazano co do zasady przetwarzania danych dotyczących zdrowia, o tyle w art. 9 ust. 2 lit. a)–j) przewidziano dziesięć odstępstw, które są od siebie niezależne i które należy zatem oceniać w sposób autonomiczny. Wynika z tego, że okoliczność, iż przesłanki zastosowania jednego z odstępstw przewidzianych w art. 9 ust. 2 nie zostały spełnione, nie stoi na przeszkodzie powołaniu się przez administratora danych na inne odstępstwo, o którym mowa w tym przepisie.

48 Z powyższego wynika, że art. 9 ust. 2 lit. h) RODO w związku z art. 9 ust. 3 nie wyklucza w żaden sposób możności stosowania wyjątku określonego w tym art. 9 ust. 2 lit. h) do sytuacji, w których organ kontroli medycznej przetwarza dane dotyczące zdrowia jednego ze swoich pracowników jako służba medyczna – a nie jako pracodawca – w celu oceny zdolności tego pracownika do pracy.

49 W drugiej kolejności taka wykładnia znajduje potwierdzenie w uwzględnieniu systemu, w jaki wpisuje się art. 9 ust. 2 lit. h) RODO, a także celów realizowanych przez to rozporządzenie i ten przepis.

50 Po pierwsze, jest prawdą, że w zakresie, w jakim w art. 9 ust. 2 RODO przewidziano wyjątek od zasady zakazu przetwarzania szczególnych kategorii danych osobowych, ten art. 9 ust. 2 RODO należy interpretować zawężająco [wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 76].

51 Jednakże poszanowanie wyrażonej w art. 9 ust. 1 RODO zasady zakazu przetwarzania danych nie może prowadzić do ograniczenia zakresu stosowania innego przepisu tego rozporządzenia w sposób sprzeczny z wyraźnym brzmieniem tego przepisu. Tymczasem sugerowana wykładnia, zgodnie z którą zakres stosowania wyjątku przewidzianego w art. 9 ust. 2 lit. h) powinien być ograniczony do przypadków, w których „neutralna osoba trzecia” przetwarza dane dotyczące zdrowia dla celów oceny zdolności pracownika do pracy, dodawałaby wymóg, który w żaden sposób nie wynika z jasnego brzmienia tego ostatniego przepisu.

52 W tym względzie nie ma znaczenia, że w niniejszej sprawie – na wypadek gdyby MDK Nordrhein zakazano wykonywania jego zadań służby medycznej, gdy chodzi o jednego z jego własnych pracowników – inny organ kontroli medycznej mógłby wykonać te zadania. Należy podkreślić, że ta możliwość, na którą powołuje się sąd odsyłający, niekoniecznie istnieje lub jest wykonalna we wszystkich państwach członkowskich i we wszystkich sytuacjach, które mogą być objęte zakresem stosowania art. 9 ust. 2 lit. h) RODO. Tymczasem wykładnia tego przepisu nie może opierać się na względach wynikających z systemu opieki zdrowotnej jednego państwa członkowskiego lub wynikających z okoliczności właściwych dla sporu w postępowaniu głównym.

53 Po drugie, wykładnia przedstawiona w pkt 48 niniejszego wyroku jest zgodna z celami RODO oraz z celami art. 9 tego rozporządzenia.

54 I tak w motywie 4 RODO wskazano, że prawo do ochrony danych osobowych nie jest prawem bezwzględnym, ponieważ należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych, w myśl zasady proporcjonalności (zob. podobnie wyrok z dnia 22 czerwca 2023 r., Pankki S, C‑579/21, EU:C:2023:501, pkt 78). Ponadto Trybunał podkreślił już, że mechanizmy umożliwiające znalezienie właściwej równowagi między poszczególnymi wchodzącymi w grę prawami i interesami są zawarte w samym RODO (zob. podobnie wyrok z dnia 17 czerwca 2021 r., M.I.C.M., C‑597/19, EU:C:2021:492, pkt 112).

55 Rozważania te odnoszą się również do sytuacji, gdy odnośne dane należą do szczególnych kategorii, o których mowa w art. 9 tego rozporządzenia [zob. podobnie wyrok z dnia 24 września 2019 r., GC i in. (Usunięcie linków do danych wrażliwych), C‑136/17, EU:C:2019:773, pkt 57, 66–68], takich jak dane dotyczące zdrowia.

56 Dokładniej rzecz ujmując, z motywu 52 RODO wynika, że należy zezwolić na „wyjątki od zakazu przetwarzania szczególnych kategorii danych osobowych”, „jeżeli uzasadnia to interes publiczny, w szczególności […] w dziedzinie prawa pracy, prawa zabezpieczenia społecznego”, a także „ze względu na cele zdrowotne, […] w szczególności zapewniani[e] jakości i ekonomiczności procedur stosowanych do rozstrzygania roszczeń w sprawie świadczeń i usług w ramach systemu ubezpieczeń zdrowotnych”. Motyw 53 tego rozporządzenia stanowi również, że powinno być możliwe przetwarzanie „do celów zdrowotnych”, „gdy jest to niezbędne do realizacji tych celów z korzyścią dla osób fizycznych i ogółu społeczeństwa, w szczególności w kontekście zarządzania usługami i systemami opieki zdrowotnej i zabezpieczenia społecznego”.

57 To właśnie w tym ogólnym kontekście i przy uwzględnieniu różnych wchodzących w grę uzasadnionych interesów prawodawca Unii przewidział w art. 9 ust. 2 lit. h) RODO możliwość odstąpienia od stosowania zasady zakazu przetwarzania danych dotyczących zdrowia, o której mowa w art. 9 ust. 1, pod warunkiem że odnośne przetwarzanie spełnia warunki i gwarancje wyraźnie ustanowione w tym art. 9 ust. 2 lit. h) oraz w innych odpowiednich przepisach tego rozporządzenia, w szczególności w art. 9 ust. 3 – w których to przepisach nie zawarto wymogu, aby służba medyczna przetwarzająca takie dane na podstawie wspomnianego art. 9 ust. 2 lit. h) była podmiotem odrębnym od pracodawcy osoby, której dane dotyczą.

58 W świetle powyższych względów i bez uszczerbku dla odpowiedzi, jakich należy udzielić na pytania drugie i trzecie, na pytanie pierwsze należy odpowiedzieć, iż art. 9 ust. 2 lit. h) RODO należy interpretować w ten sposób, że wyjątek przewidziany w tym przepisie ma zastosowanie do sytuacji, w których organ kontroli medycznej przetwarza dane dotyczące zdrowia jednego ze swoich pracowników nie jako pracodawca, lecz jako służba medyczna, w celu oceny zdolności tego pracownika do pracy, pod warunkiem że odnośne przetwarzanie spełnia warunki i gwarancje wyraźnie określone w tym art. 9 ust. 2 lit. h) i w art. 9 ust. 3.

W przedmiocie pytania drugiego

59 Zdaniem sądu odsyłającego z motywów 35, 51, 53 i 75 RODO wynika, że nie wystarczy spełnić wymogów określonych w art. 9 ust. 3 RODO w sytuacji takiej jak rozpatrywana w postępowaniu głównym, w której administrator danych jest również pracodawcą osoby, której zdolność do pracy jest oceniana. W rozporządzeniu tym nakazano ponadto wykluczenie z przetwarzania danych dotyczących zdrowia wszystkich pracowników administratora danych, którzy mają jakikolwiek kontakt zawodowy z tą osobą. Zdaniem tego sądu każdy administrator danych posiadający kilka zakładów, tak jak MDK Nordrhein, powinien zapewnić, aby podmiot odpowiedzialny za przetwarzanie danych dotyczących zdrowia pracowników tego administratora należał zawsze do innego przedsiębiorstwa niż to, w którym pracuje dany pracownik. Co więcej, obowiązek zachowania tajemnicy zawodowej ciążący na pracownikach uprawnionych do przetwarzania takich danych nie stoi, faktycznie, na przeszkodzie temu, aby współpracownik osoby, której dane dotyczą, miał dostęp do dotyczących jej danych, co wiązałoby się z ryzykiem szkody, takim jak naruszenie dobrego imienia tej osoby.

60 W tych okolicznościach poprzez pytanie drugie sąd odsyłający dąży w istocie do ustalenia, czy przepisy RODO należy interpretować w ten sposób, że administrator przetwarzający dane dotyczące zdrowia, na podstawie art. 9 ust. 2 lit. h) tego rozporządzenia, jest zobowiązany do zagwarantowania, że żaden współpracownik osoby, której dane dotyczą, nie będzie mógł uzyskać dostępu do danych dotyczących stanu zdrowia tej osoby.

61 Należy przypomnieć, że zgodnie z art. 9 ust. 3 RODO przetwarzanie danych do celów wymienionych, odpowiednio, w art. 9 ust. 1 i w art. 9 ust. 2 lit. h), w niniejszym przypadku danych dotyczących zdrowia pracownika do celów oceny jego zdolności do pracy, może być dokonywane tylko wtedy, gdy dane te są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego lub przepisów ustanowionych przez właściwe organy krajowe.

62 Przyjmując art. 9 ust. 3 tego rozporządzenia, który odnosi się właśnie do art. 9 ust. 2 lit. h), prawodawca Unii zdefiniował szczególne środki ochrony, jakie zamierzał nałożyć na administratorów przeprowadzających takie przetwarzanie, które to środki polegają na tym, że to przetwarzanie może być dokonywane wyłącznie przez osoby podlegające obowiązkowi zachowania tajemnicy, zgodnie ze szczegółowymi warunkami określonymi we wspomnianym art. 9 ust. 3. Nie ma zatem potrzeby dodawania do brzmienia tego ostatniego przepisu wymogów, które nie są w nim wymienione.

63 Wynika z tego, jak zauważył w istocie rzecznik generalny w pkt 43 opinii, że art. 9 ust. 3 RODO nie może służyć za podstawę prawną środka gwarantującego, że żaden współpracownik osoby, której dane dotyczą, nie będzie mógł uzyskać dostępu do danych dotyczących jej stanu zdrowia.

64 Należy jednak ocenić, czy wymóg polegający na zapewnieniu, by żaden współpracownik osoby, której dane dotyczą, nie miał dostępu do danych dotyczących jej stanu zdrowia, może być nałożony na administratora danych dotyczących zdrowia – przetwarzającego te dane na podstawie art. 9 ust. 2 lit. h) RODO – na podstawie innego przepisu tego rozporządzenia.

65 W tym względzie należy uściślić, że jedyna możliwość dodania przez państwa członkowskie takiego wymogu – w stosunku do wymogów ustanowionych w art. 9 ust. 2 i 3 wspomnianego rozporządzenia – polega na przyznanej im wyraźnie w art. 9 ust. 4 możliwości „zachowania lub wprowadzenia dalszych warunków, w tym ograniczenia, w odniesieniu do przetwarzania […] danych dotyczących zdrowia”.

66 Niemniej te ewentualne dodatkowe warunki wynikają nie z samych przepisów RODO, lecz, w stosownym przypadku, z przepisów prawa krajowego regulujących przetwarzanie tego rodzaju, w odniesieniu do których to przepisów w rozporządzeniu tym wyraźnie pozostawiono państwom członkowskim zakres uznania (zob. podobnie wyrok z dnia 30 marca 2023 r., Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, pkt 51, 78).

67 Należy ponadto podkreślić, że państwo członkowskie, które zamierza skorzystać z możliwości przyznanej w art. 9 ust. 4 wspomnianego rozporządzenia, powinno, zgodnie z zasadą proporcjonalności, upewnić się, że praktyczne konsekwencje, w szczególności natury organizacyjnej, gospodarczej i medycznej, wywołane przez dodatkowe wymogi, których przestrzegania państwo to zamierza wymagać, nie są nadmierne dla administratorów dokonujących takiego przetwarzania, którzy niekoniecznie dysponują potencjałem lub zasobami technicznymi i ludzkimi wystarczającymi do spełnienia tych wymogów. Wymogi te nie mogą bowiem szkodzić skuteczności (effet utile) zezwolenia na przetwarzanie, przewidzianego wyraźnie w art. 9 ust. 2 lit. h) tego rozporządzenia i uregulowanego w art. 9 ust. 3.

68 Wreszcie należy podkreślić, że zgodnie z art. 32 ust. 1 lit. a) i b) RODO, w którym skonkretyzowano zasady integralności i poufności określone w art. 5 ust. 1 lit. f) tego rozporządzenia, każdy administrator danych osobowych jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiadającego ryzyku, w szczególności pseudonimizacji i szyfrowania takich danych, a także środków zapewniających w szczególności poufność i integralność systemów i usług przetwarzania. Aby określić praktyczne sposoby realizacji tego obowiązku, administrator musi, zgodnie z tym art. 32 ust. 1, wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.

69 Do sądu odsyłającego będzie jednak należało dokonanie oceny, czy wszystkie środki techniczne i organizacyjne wdrożone w niniejszym przypadku przez MDK Nordrhein są zgodne z wymogami określonymi w art. 32 ust. 1 lit. a) i b) RODO.

70 Na pytanie drugie należy zatem odpowiedzieć, że art. 9 ust. 3 RODO należy interpretować w ten sposób, że administrator przetwarzający dane dotyczące zdrowia, na podstawie art. 9 ust. 2 lit. h) tego rozporządzenia, nie jest zobowiązany, na mocy tych przepisów, do zagwarantowania, że żaden współpracownik osoby, której dane dotyczą, nie będzie mógł uzyskać dostępu do danych dotyczących stanu zdrowia tej osoby. Jednakże taki obowiązek może ciążyć na administratorze przetwarzającym takie dane albo na podstawie uregulowania przyjętego przez państwo członkowskie na podstawie art. 9 ust. 4 wspomnianego rozporządzenia, albo na podstawie zasad integralności i poufności określonych w art. 5 ust. 1 lit. f) tego rozporządzenia i skonkretyzowanych w jego art. 32 ust. 1 lit. a) i b).

W przedmiocie pytania trzeciego

71 Poprzez pytanie trzecie sąd odsyłający dąży w istocie do ustalenia, czy art. 9 ust. 2 lit. h) i art. 6 ust. 1 RODO należy interpretować w ten sposób, że przetwarzanie danych dotyczących zdrowia oparte na tym pierwszym przepisie musi, aby było zgodne z prawem, nie tylko spełniać wymogi wynikające z tego przepisu, lecz także spełniać co najmniej jeden z warunków zgodności z prawem wymienionych w tym art. 6 ust. 1.

72 W tym względzie należy przypomnieć, że art. 5, 6 i 9 RODO znajdują się w rozdziale II tego rozporządzenia, zatytułowanym „Zasady”, i dotyczą, odpowiednio, zasad przetwarzania danych osobowych, warunków zgodności przetwarzania z prawem, a także przetwarzania szczególnych kategorii danych osobowych.

73 Ponadto należy zauważyć, że w motywie 51 RODO wyraźnie wskazano, że „[o]prócz wymogów szczegółowych” mających zastosowanie do przetwarzania danych „szczególnie wrażliwych”, które określono w art. 9 ust. 2 i 3 tego rozporządzenia, bez uszczerbku dla ewentualnych środków przyjętych przez państwo członkowskie na podstawie art. 9 ust. 4, „zastosowanie [do takiego przetwarzania] powinny mieć [również] zasady ogólne i inne przepisy [wspomnianego] rozporządzenia, w szczególności jeżeli chodzi o warunki zgodności przetwarzania z prawem”, wynikające z art. 6 tego rozporządzenia.

74 W związku z tym, zgodnie z art. 6 ust. 1 akapit pierwszy RODO, przetwarzanie danych „szczególnie wrażliwych”, takich jak dane dotyczące zdrowia, jest zgodne z prawem jedynie wtedy, gdy spełniony jest co najmniej jeden z warunków określonych we wspomnianym art. 6 ust. 1 akapit pierwszy lit. a)–f).

75 W art. 6 ust. 1 akapit pierwszy wspomnianego rozporządzenia przewidziano zaś wyczerpujący i zamknięty wykaz przypadków, w których przetwarzanie danych osobowych może być uznane za zgodne z prawem. Tym samym, aby przetwarzanie mogło być uznane za zgodne z prawem, musi ono wchodzić w zakres jednego z przypadków przewidzianych w tym przepisie [wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 90 i przytoczone tam orzecznictwo].

76 W związku z tym Trybunał wielokrotnie orzekał, że każde przetwarzanie danych osobowych musi być zgodne z zasadami dotyczącymi przetwarzania danych określonymi w art. 5 ust. 1 RODO i spełniać warunki zgodności przetwarzania z prawem wymienione w art. 6 tego rozporządzenia [wyrok z dnia 4 maja 2023 r., Bundesrepublik Deutschland (Skrzynka doręczeń elektronicznych w sprawach sądowych), C‑60/22, EU:C:2023:373, pkt 57 i przytoczone tam orzecznictwo].

77 Ponadto orzeczono już, że w zakresie, w jakim art. 7–11 RODO, zawarte, podobnie jak art. 5 i 6 tego rozporządzenia, w jego rozdziale II, określają zakres obowiązków spoczywających na administratorze danych na mocy art. 5 ust. 1 lit. a) i art. 6 ust. 1 wspomnianego rozporządzenia, przetwarzanie danych osobowych, aby mogło zostać uznane za zgodne z prawem, powinno również zapewniać przestrzeganie, jak wynika z orzecznictwa Trybunału, tych pozostałych przepisów wspomnianego rozdziału, które dotyczą co do istoty wyrażania zgody, przetwarzania szczególnych kategorii danych osobowych szczególnie chronionych i przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa [wyrok z dnia 4 maja 2023 r., Bundesrepublik Deutschland (Skrzynka doręczeń elektronicznych w sprawach sądowych), C‑60/22, EU:C:2023:373, pkt 58 i przytoczone tam orzecznictwo].

78 Wynika z tego w szczególności, że w zakresie, w jakim art. 9 ust. 2 lit. h) RODO ma na celu uściślenie zakresu obowiązków ciążących na administratorze na podstawie art. 5 ust. 1 lit. a) i art. 6 ust. 1 tego rozporządzenia, przetwarzanie danych dotyczących zdrowia, które opiera się na tym pierwszym przepisie, musi spełniać, aby było zgodne z prawem, zarówno wymogi wynikające z tego przepisu, jak i zapewnić wykonanie obowiązków wynikających z tych dwóch ostatnich przepisów, a w szczególności spełniać co najmniej jeden z warunków zgodności z prawem określonych w tym art. 6 ust. 1.

79 W świetle powyższych rozważań na pytanie trzecie należy odpowiedzieć, że art. 9 ust. 2 lit. h) i art. 6 ust. 1 RODO należy interpretować w ten sposób, że przetwarzanie danych dotyczących zdrowia oparte na tym pierwszym przepisie musi, aby było zgodne z prawem, nie tylko spełniać wymogi wynikające z tego przepisu, lecz także spełniać co najmniej jeden z warunków zgodności z prawem wymienionych w tym art. 6 ust. 1.

W przedmiocie pytania czwartego

80 Poprzez pytanie czwarte sąd odsyłający dąży w istocie do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że prawo do odszkodowania przewidziane w tym przepisie pełni nie tylko funkcję kompensacyjną, lecz również funkcję odstraszającą lub represyjną, i, na wypadek udzielenia odpowiedzi twierdzącej, czy ta ostatnia funkcja powinna ewentualnie być wzięta pod uwagę przy określaniu kwoty odszkodowania za szkodę niemajątkową przyznanego na podstawie tego przepisu.

81 Należy przypomnieć, że w art. 82 ust. 1 RODO wskazano, że „[k]ażda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”.

82 Trybunał dokonał wykładni tego przepisu w ten sposób, że samo naruszenie RODO nie wystarcza, aby przyznać prawo do odszkodowania, po podkreśleniu w szczególności, że istnienie „szkody [majątkowej]” lub „szkody [niemajątkowej]”, która została „poniesiona”, stanowi jedną z przesłanek przewidzianego w tym art. 82 ust. 1 prawa do odszkodowania, podobnie jak istnienie naruszenia tego rozporządzenia i związku przyczynowego między tą szkodą a tym naruszeniem, przy czym te trzy przesłanki są kumulatywne [zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 32, 42].

83 Ponadto Trybunał orzekł, że ponieważ RODO nie zawiera przepisu określającego zasady ustalania wysokości odszkodowania należnego z tytułu ustanowionego w art. 82 tego rozporządzenia prawa do odszkodowania, sądy krajowe powinny w tym celu stosować, zgodnie z zasadą autonomii proceduralnej, przepisy wewnętrzne każdego państwa członkowskiego dotyczące zakresu odszkodowania pieniężnego, o ile przestrzegane są zasady równoważności i skuteczności prawa Unii, zdefiniowane w utrwalonym orzecznictwie Trybunału [zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 53, 54, 59].

84 W tym kontekście i w świetle motywu 146 zdanie szóste RODO, zgodnie z którym instrument ten ma na celu zapewnienie „pełnego i skutecznego odszkodowania za poniesione szkody”, Trybunał zauważył, że ze względu na funkcję kompensacyjną prawa do odszkodowania przewidzianego w art. 82 tego rozporządzenia odszkodowanie pieniężne oparte na tym artykule należy uznać za „pełne i skuteczne”, jeżeli pozwala ono na pełną rekompensatę szkody poniesionej konkretnie w wyniku naruszenia tego rozporządzenia, przy czym dla celów takiej pełnej rekompensaty nie jest konieczne nakazanie zapłaty odszkodowania o charakterze represyjnym [zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 57, 58].

85 W tym względzie należy podkreślić, że art. 82 RODO pełni funkcję nie represyjną, lecz kompensacyjną – w przeciwieństwie do innych przepisów tego rozporządzenia zawartych również w jego rozdziale VIII, a mianowicie jego art. 83 i 84, które, jeśli o nie chodzi, mają zasadniczo cel represyjny, ponieważ umożliwiają odpowiednio nakładanie grzywien administracyjnych i innych kar. Związek między przepisami ustanowionymi we wspomnianym art. 82 a przepisami zawartymi we wspomnianych art. 83 i 84 świadczy o tym, że istnieje różnica między tymi dwiema kategoriami przepisów, ale także komplementarność, jeśli chodzi o zachętę do przestrzegania przepisów RODO, przy czym prawo każdej osoby do żądania odszkodowania wzmacnia operacyjny charakter przepisów ochronnych przewidzianych w tym rozporządzeniu i może zniechęcać do powtarzania bezprawnych zachowań [zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 38, 40].

86 Ponieważ prawo do odszkodowania przewidziane w art. 82 ust. 1 RODO nie pełni funkcji odstraszającej, a nawet represyjnej, takiej jak przewidziana przez sąd odsyłający, waga naruszenia tego rozporządzenia, które spowodowało daną szkodę, nie może mieć wpływu na wysokość odszkodowania przyznanego na podstawie tego przepisu, nawet jeśli chodzi nie o szkodę majątkową, lecz o szkodę niemajątkową. Wynika z tego, że kwota ta nie może zostać ustalona na poziomie przekraczającym całkowitą rekompensatę tej szkody.

87 W konsekwencji na pytanie czwarte należy odpowiedzieć, że art. 82 ust. 1 RODO należy interpretować w ten sposób, że prawo do odszkodowania przewidziane w tym przepisie pełni funkcję kompensacyjną, ponieważ odszkodowanie pieniężne oparte na tym przepisie powinno umożliwić pełne naprawienie szkody poniesionej konkretnie w wyniku naruszenia tego rozporządzenia, a nie pełnić funkcję odstraszającą lub represyjną.

W przedmiocie pytania piątego

88 Z informacji przekazanych przez sąd odsyłający w odpowiedzi na wezwanie do udzielenia wyjaśnień skierowane do niego zgodnie z art. 101 regulaminu postępowania przed Trybunałem wynika, że pytanie piąte zmierza do ustalenia, po pierwsze, czy istnienie lub udowodnienie winy są przesłankami koniecznymi do pociągnięcia do odpowiedzialności administratora danych lub podmiotu przetwarzającego, i, po drugie, jaki wpływ na konkretną ocenę wysokości odszkodowania za doznaną szkodę niemajątkową może mieć stopień winy administratora lub podmiotu przetwarzającego.

89 Biorąc pod uwagę tę odpowiedź sądu odsyłającego, pytanie piąte należy rozumieć w ten sposób, że zmierza ono w istocie do ustalenia, po pierwsze, czy art. 82 RODO należy interpretować w ten sposób, że powstanie odpowiedzialności administratora danych jest uzależnione od istnienia jego winy, i, po drugie, czy wymagane jest wzięcie pod uwagę stopnia tej winy przy określaniu kwoty odszkodowania przyznawanego za szkodę niemajątkową na podstawie tego przepisu.

90 Co się tyczy części pierwszej tego pytania, należy zauważyć, że – jak przypomniano to w pkt 82 niniejszego wyroku – w art. 82 ust. 1 RODO uzależniono prawo do odszkodowania od łącznego wystąpienia trzech elementów, a mianowicie istnienia naruszenia przepisów tego rozporządzenia, istnienia poniesionej szkody oraz istnienia związku przyczynowego między tym naruszeniem a tą szkodą.

91 Artykuł 82 ust. 2 RODO stanowi ze swej strony, że każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym przepisy tego rozporządzenia. Tymczasem brzmienie tego przepisu w niektórych wersjach językowych, w szczególności w wersji niemieckiej, który to język jest językiem postępowania w niniejszej sprawie, nie umożliwia ustalenia z całą pewnością, czy konkretne naruszenie należy przypisać administratorowi danych, aby mógł on zostać pociągnięty do odpowiedzialności.

92 W tym względzie z analizy różnych wersji językowych art. 82 ust. 2 zdanie pierwsze RODO wynika, że domniemywa się, iż administrator uczestniczył w przetwarzaniu stanowiącym odnośne naruszenie przepisów tego rozporządzenia. O ile bowiem wersje w językach niemieckim, francuskim lub fińskim są sformułowane w sposób otwarty, o tyle niektóre inne wersje językowe okazują się być bardziej precyzyjne i używają określnika wskazującego dla trzeciego wystąpienia terminu „przetwarzanie” lub dla trzeciego odniesienia do tego terminu, w związku z czym jest jasne, że to trzecie wystąpienie lub odniesienie odsyła do tej samej operacji co drugie wystąpienie tego terminu. Sytuacja taka ma miejsce w przypadku wersji językowych hiszpańskiej, estońskiej, greckiej, włoskiej lub rumuńskiej.

93 W art. 82 ust. 3 RODO uściślono w tym kontekście, że administrator danych jest zwolniony z odpowiedzialności, na podstawie art. 82 ust. 2, jeżeli udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.

94 Z łącznej analizy tych różnych przepisów zawartych w art. 82 RODO wynika zatem, że w tym art. 82 przewidziano odpowiedzialność na zasadzie winy, w ramach której ciężar dowodu spoczywa nie na osobie, która poniosła szkodę, lecz na administratorze.

95 Taki sposób wykładni znajduje potwierdzenie w kontekście, w jaki wpisuje się ten art. 82, a także w celach realizowanych przez prawodawcę Unii poprzez przepisy RODO.

96 W tym względzie, po pierwsze, z brzmienia art. 24 i 32 RODO wynika, że przepisy te ograniczają się do nałożenia na administratora obowiązku przyjęcia środków technicznych i organizacyjnych mających na celu uniknięcie, na ile to możliwe, jakiegokolwiek naruszenia danych osobowych. Stosowność takich środków należy ocenić w sposób konkretny, badając, czy środki te zostały wdrożone przez administratora danych z uwzględnieniem różnych kryteriów określonych w tych artykułach oraz potrzeb ochrony danych specyficznie związanych z danym przetwarzaniem, a także ryzyka związanego z tym przetwarzaniem (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, pkt 30).

97 Tymczasem taki obowiązek zostałby podważony, gdyby administrator danych był następnie zobowiązany do naprawienia wszelkich szkód spowodowanych przetwarzaniem danych z naruszeniem RODO.

98 Po drugie, co się tyczy celów RODO, z motywów 4–8 tego rozporządzenia wynika, że ma ono na celu zapewnienie równowagi między interesami administratorów danych osobowych a prawami osób, których takie dane są przetwarzane. Realizowanym celem jest umożliwienie rozwoju gospodarki cyfrowej, przy jednoczesnym zapewnieniu wysokiego poziomu ochrony osób. W ten sposób chodzi o wyważenie interesów administratora i osób, których dane osobowe są przetwarzane. Tymczasem mechanizm odpowiedzialności na zasadzie winy połączony z przeniesieniem ciężaru dowodu, jak przewidziano to w art. 82 RODO, pozwala właśnie na zapewnienie takiej równowagi.

99 Z jednej strony, jak zauważył w istocie rzecznik generalny w pkt 93 opinii, niezgodne z celem takiej wysokiej ochrony byłoby przyjęcie wykładni, zgodnie z którą osoby, których dane dotyczą i które poniosły szkodę z powodu naruszenia przepisów RODO, powinny, w ramach powództwa odszkodowawczego opartego na art. 82 tego rozporządzenia, ponosić ciężar wykazania nie tylko istnienia tego naruszenia i wynikającej stąd szkody dla nich, lecz także istnienia winy umyślnej lub niedbalstwa ze strony administratora danych, a nawet stopnia tej winy – podczas gdy we wspomnianym art. 82 nie sformułowano takich wymogów (zob. analogicznie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, pkt 56).

100 Z drugiej strony odpowiedzialność niezależna od winy nie zapewniałaby realizacji celu związanego z pewnością prawa, do którego realizacji dąży prawodawca, jak wynika to z motywu 7 RODO.

101 Co się tyczy części drugiej pytania piątego, dotyczącej określenia kwoty odszkodowania ewentualnie należnego na podstawie art. 82 RODO, należy przypomnieć, że – jak podkreślono to w pkt 83 niniejszego wyroku – w celu oceny tego odszkodowania sądy krajowe powinny stosować przepisy wewnętrzne każdego państwa członkowskiego dotyczące zakresu odszkodowania pieniężnego, pod warunkiem że przestrzegane są zasady równoważności i skuteczności prawa Unii, zdefiniowane w utrwalonym orzecznictwie Trybunału.

102 Należy uściślić, biorąc pod uwagę jego funkcję kompensacyjną, że art. 82 RODO nie wymaga, by stopień wagi naruszenia przepisów tego rozporządzenia, co do którego to naruszenia domniemywa się istnienie winy administratora, został uwzględniony przy określaniu kwoty odszkodowania przyznanego za szkodę niemajątkową na podstawie tego przepisu, lecz wymaga, by kwota ta została ustalona w taki sposób, aby w pełni zrekompensować konkretną szkodę poniesioną w wyniku naruszenia przepisów wspomnianego rozporządzenia, jak wynika to z pkt 84 i 87 niniejszego wyroku.

103 W konsekwencji na pytanie piąte należy udzielić odpowiedzi, iż art. 82 RODO należy interpretować w ten sposób, że, po pierwsze, powstanie odpowiedzialności administratora danych jest uzależnione od istnienia jego winy, której istnienie domniemywa się, chyba że wykaże on, iż w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody, i, po drugie, ten art. 82 nie wymaga wzięcia pod uwagę stopnia tej winy przy określaniu kwoty odszkodowania przyznawanego za szkodę niemajątkową na podstawie tego przepisu.

W przedmiocie kosztów

104 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (trzecia izba) orzeka, co następuje:

1) Artykuł 9 ust. 2 lit. h) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)